Kotlin 配置 (Kotlin Configuration) _ Spring Security 6.0.8 中文文档(官方文档中文翻译) —

对于最新的稳定版本，请使用 Spring Security 6.3.1！Spring中文文档

Spring Security 提供了一个示例应用程序来演示 Spring Security Kotlin 配置的使用。Spring中文文档

Http安全

Spring Security 如何知道我们要要求所有用户都进行身份验证？ Spring Security 如何知道我们要支持基于表单的身份验证？有一个配置类（称为）正在后台调用。它配置了以下默认实现：SecurityFilterChainSpring中文文档

import org.springframework.security.config.annotation.web.invoke

@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
   http {
        authorizeRequests {
            authorize(anyRequest, authenticated)
        }
       formLogin { }
       httpBasic { }
    }
    return http.build()
}

请确保在类中导入函数，有时 IDE 不会自动导入它，从而导致编译问题。invoke

默认配置（如前面的清单所示）：Spring中文文档

确保对应用程序的任何请求都需要对用户进行身份验证Spring中文文档
允许用户使用基于表单的登录进行身份验证Spring中文文档
允许用户使用 HTTP 基本身份验证进行身份验证Spring中文文档

请注意，此配置与 XML 命名空间配置并行：Spring中文文档

<http>
	<intercept-url pattern="/**" access="authenticated"/>
	<form-login />
	<http-basic />
</http>

请确保在类中导入函数，有时 IDE 不会自动导入它，从而导致编译问题。invoke

多个 HttpSecurity 实例

我们可以配置多个实例，就像我们可以有多个块一样。关键是注册多个 s。以下示例对以：开头的 URL 有不同的配置：HttpSecurity<http>SecurityFilterChain@Bean/api/Spring中文文档

@Configuration
import org.springframework.security.config.annotation.web.invoke

@EnableWebSecurity
class MultiHttpSecurityConfig {
    @Bean                                                            (1)
    public fun userDetailsService(): UserDetailsService {
        val users: User.UserBuilder = User.withDefaultPasswordEncoder()
        val manager = InMemoryUserDetailsManager()
        manager.createUser(users.username("user").password("password").roles("USER").build())
        manager.createUser(users.username("admin").password("password").roles("USER","ADMIN").build())
        return manager
    }

    @Order(1)                                                        (2)
    @Bean
    open fun apiFilterChain(http: HttpSecurity): SecurityFilterChain {
        http {
            securityMatcher("/api/**")                               (3)
            authorizeRequests {
                authorize(anyRequest, hasRole("ADMIN"))
            }
            httpBasic { }
        }
        return http.build()
    }

    @Bean                                                            (4)
    open fun formLoginFilterChain(http: HttpSecurity): SecurityFilterChain {
        http {
            authorizeRequests {
                authorize(anyRequest, authenticated)
            }
            formLogin { }
        }
        return http.build()
    }
}

1	像往常一样配置身份验证。
2	创建一个包含的实例，以指定应首先考虑哪个实例。`SecurityFilterChain@OrderSecurityFilterChain`
3	声明这仅适用于以`http.antMatcherHttpSecurity/api/`
4	创建的另一个实例。如果 URL 不以开头，则使用此配置。此配置被视为 after ，因为它有一个 after 值（没有默认值为 last）。`SecurityFilterChain/api/apiFilterChain@Order1@Order`

1	像往常一样配置身份验证。
2	创建一个包含的实例，以指定应首先考虑哪个实例。`SecurityFilterChain@OrderSecurityFilterChain`
3	声明这仅适用于以`http.antMatcherHttpSecurity/api/`
4	创建的另一个实例。如果 URL 不以开头，则使用此配置。此配置被视为 after ，因为它有一个 after 值（没有默认值为 last）。`SecurityFilterChain/api/apiFilterChain@Order1@Order`